211service.com
Entrer par effraction pour une bonne raison
Tous les pirates informatiques qui attaquent les entreprises ne sont pas des méchants ; certains sont payés pour le faire par leur cible. Dans un service appelé test d'intrusion, une entreprise de sécurité tente d'accéder aux systèmes d'un client ou de les contrôler afin de découvrir des faiblesses qui pourraient être exploitées par un véritable attaquant.

À la recherche d'ennuis : Brian Holyfield, cofondateur de Gotham Digital
Certains types d'entreprises sont légalement tenus de se soumettre à des tests d'intrusion, mais beaucoup d'autres optent également pour eux, explique Brian Holyfield, cofondateur de Gotham science numérique , une société basée à New York spécialisée dans ce service. Holyfield a dit à Tom Simonite, Examen de la technologie éditeur informatique pour le matériel et les logiciels, que lors de certains gros travaux, Gotham déploie trois de ses pirates contre une entreprise pendant des semaines à la fois.
ENFANTS : Pourquoi les tests d'intrusion sont-ils nécessaires ? Ne pourriez-vous pas simplement dire à une entreprise quelles vulnérabilités un attaquant rechercherait ?
Holyfield : Nous ne recherchons pas de vulnérabilités standard. La plupart du temps, nous recherchons des vulnérabilités au niveau du code dans les applications personnalisées. Tout le monde a maintenant des applications Web, et la réalité est que le pare-feu ne fait pas grand-chose pour les protéger.
Avec quels types d'entreprises travaillez-vous ?
Nous travaillons principalement avec des fournisseurs de services bancaires et financiers, de soins de santé et de logiciels. Tous les sites et systèmes qui acceptent les cartes de crédit doivent effectuer des tests s'ils effectuent plus d'un certain nombre de transactions par an. Mais beaucoup d'entreprises ne sont pas obligées de le faire. Le plus grand marché que nous desservons est celui des entreprises qui fournissent des logiciels en tant que service. Les clients leur demandent ce qu'ils font pour garantir leur sécurité.
Les clients ont-ils peur de se porter volontaires pour être piratés ?
La première fois que quelqu'un traverse cela, il y a un niveau de nervosité et même de paranoïa. Nous devons travailler pour qu'ils mettent de côté leur ego et comprennent que ce n'est pas un exercice nous contre eux ; nous n'essayons pas de faire mal paraître qui que ce soit. Lorsqu'un test d'intrusion est terminé, les clients sont généralement heureux que nous ayons trouvé le problème avant le méchant.
Quel est un bon exemple de vulnérabilités que vous avez trouvées ?
Dans un engagement récent, nous avons compromis un site Web de marketing pour une grande institution financière qui fonctionnait sur un serveur Web non corrigé. Ce serveur a été utilisé comme point de départ pour traverser le pare-feu et obtenir une connectivité aux systèmes de leur réseau interne.
Nous avons découvert que l'un des comptes [tirés du] serveur Web (nous avions déchiffré le mot de passe) était également un administrateur du coffre-fort qui stocke les mots de passe de tout le monde pour ce réseau. Nous pourrions nous connecter comme n'importe qui. Une bonne leçon ici est que ce n'est pas parce qu'un système n'est pas critique que le serveur peut être radié du point de vue de la sécurité. Une fois que vous avez accès à la zone de périmètre, vous avez généralement beaucoup plus d'options pour attaquer des systèmes plus importants, puisque vous êtes maintenant derrière le pare-feu. L'autre leçon est l'importance de ne pas utiliser le même mot de passe sur des systèmes différents.
Une fois votre attaque terminée, que présentez-vous au client ?
Nous avons toujours un rapport écrit, des captures d'écran étape par étape et des instructions que nous pouvons remettre à un développeur et lui dire : voici comment procéder. Après le test d'intrusion, nous ajoutons de la valeur en indiquant clairement ce qui doit être fait. Cela se compare à un audit de sécurité classique qui a tendance à être fortement axé sur les meilleures pratiques.
Les gens qui font ça pour les gentils sont-ils différents des méchants ?
Cela nécessite non seulement des compétences spécialisées, mais aussi un certain type de personne. Ce n'est pas que les gens soient bons dans leur travail autant que c'est leur passe-temps, ce qu'ils vivent et respirent. Ils ont le désir non seulement de comprendre comment quelque chose fonctionne, mais aussi de comprendre comment utiliser quelque chose [dans un but] pour lequel il n'était pas destiné.
C'est une ligne fine entre quelqu'un avec cette passion juste pour l'intérêt et la connaissance et quelqu'un qui causera du mal ou essaiera de gagner de l'argent. Lorsque nous recherchons des talents, une partie de notre processus de recrutement consiste en une vérification très stricte des antécédents pour rechercher un côté obscur. Il y a eu de nombreux cas où nous connaissons des personnes très talentueuses que nous ne pouvons tout simplement pas embaucher.
Les tests d'intrusion sont-ils de plus en plus courants ?
Oui, cela commence à devenir beaucoup plus courant. Un signe de cela est qu'il est de plus en plus facile pour les gens d'obtenir l'autorisation de leur fournisseur de services Internet, qui doit savoir pour comprendre qu'il ne s'agit pas d'une véritable attaque. Aujourd'hui, les sociétés d'infrastructure comme Amazon facilitent grandement les choses. Si vous êtes hébergé dans le cloud d'Amazon, obtenir l'autorisation d'effectuer un test d'intrusion est aussi simple que de remplir un simple formulaire Web.
Les tests d'intrusion auraient-ils pu préparer Sony aux récentes attaques au cours desquelles les données des utilisateurs ont été volées ?
Un test de pénétration se concentre généralement sur la porte d'entrée, mais il y a une tonne de fenêtres. Je pense que Sony était en fait spécifiquement ciblé. L'ingénierie sociale et le spear phishing [créer des messages pour amener une personne en particulier à révéler des données sensibles] auraient pu être utilisés contre des personnes ayant accès aux données. Tester les attaques d'ingénierie sociale est une option pour un test d'intrusion, mais la plupart des gens ne le font pas. Ils connaissent déjà les risques.